Web lokacije koriste vaš preglednik za rudanje kriptovaluta. To bi mogla biti dobra stvar

Ime sve govori: WannaMine. Panda, španjolska tvrtka za cyber-sigurnost sa sjedištem u Bilbauu, napisala je početkom veljače da je "nova inačica zlonamjernog softvera preuzela računala širom svijeta, otimajući ih za iskopavanje kriptovalute zvane Monero."

Virus podsjeća na WannaCry, crva koji je progutao globus u svibnju 2017., šifrirajući podatke zaraženih sustava i zahtijevajući bitcoin otkupninu kako bi ih dešifrirali. No, WannaMine koristi drugačiji pristup uklanjanju kriptovaluta svojih žrtava: koristi procesora svojih strojeva kako bi pokrenuo algoritam koji se zove CryptoNight iznova i iznova, nadajući se da će naći hash koji zadovoljava određene kriterije prije nego što to učine drugi rudari. Kad se to dogodi, minira se novi blok, koji stvara komad nove monere - vrijedan oko 1.500 dolara u trenutku pisanja - i polaže vjetrovit pad u novčanik napadača.

Šanse da će svaki rudar prvi pronaći sljedeći blok i primiti nagradu su malene, ali zaraze dovoljno CPU-a i možete zajedno hakirati pristojan tok prihoda. Budući da žrtva plaća račune za struju i opskrbljuje hardverom, troškovi za napadača su zanemarivi. (Pogledajte također, Kako funkcionira rudarstvo bitcoina? )

"Dokaz koncepta"

11. veljače otkriven je sličan, ali prilično spektakularniji napad. Istraživači kibernetičke sigurnosti Scott Helme i Ian Thornton-Trump (phat_hobbit) primijetili su da web stranice od Nacionalne zdravstvene službe Velike Britanije do američkih sudova otimaju preglednike posjetitelja kako bi minirali monero.

Ummm, pa da, ovo je * loše *. Upravo sam @phat_hobbit istaknuo da @ICOnews na njihovom web mjestu ima instaliran kriptominer ... pic.twitter.com/xQhspR7A2f
- Scott Helme (@Scott_Helme) 11. veljače 2018

Krivac je dodatak s tekstom u govor popularan kod anglofonskih vlada pod nazivom Browaloud, koji je bio zaražen Coinhiveom, rudnikom monero rudarom koji sam po sebi nije nužno zlonamjerni softver: njegovi pružatelji usluga predstavljaju ga kao legitimni način unovčavanja prometa, ali postavljaju svojim korisnicima premalo pitanja, prema Matičnoj ploči.

Zasad, dakle 2018. Ali nešto nije. Napadači nisu zaradili ništa: oko 24 dolara, što nije ni isplaćeno, rekao je Coinhive za Motherboard. A kako je Helme naglasio, napad je mogao biti i puno gori: "Napadači su imali proizvoljnu injekciju skripte na hiljadama web lokacija, uključujući mnoge NHS web stranice ovdje u Engleskoj." Mogli su ukrasti brod izuzetno vrijednih osobnih podataka. Ali nisu.

Nadalje, s obzirom na odabranu metodu napada, napadači su trebali odabrati ciljeve većeg prometa, manje kontrolirane, niže sigurnosti: porno web stranice popularne su kriptominerima jer odgovaraju ovim kriterijima.

Čini se da cilj otmičara nije bio zaraditi. Možda je, kako je rekao Matt Burgess iz Wired UK, parafrazirajući analitičara Malwarebytesa Chrisa Boyda, umjesto toga „stvarao dokaz o konceptu“.

Kripto kvari model oglasa?

Koji bi koncept mogao biti, Boyd nije precizirao. "Da vidimo kakva se to luda stvar može učiniti s ovim skriptama", zamislio je kako su hakeri rekli.

No Lucas Nuzzi, viši analitičar u Digital Asset Research, ima ideju. "Rudari sa sjedištem u preglednicima kao što je Coinhive najbolja su implementacija korisnog PoW-a [dokaz rada] u postojanju", tvitnuo je. "Prvi put u povijesti interneta web stranice imaju način unovčavanja sadržaja bez da bombarduju korisnike oglasima."

Potencijal nije ograničen ni na modele koji se temelje na oglasima:

2 \ Ovi rudari se mogu implementirati s manje od 20 redaka koda. Wikipedija ne bi trebala tražiti donacije ako implementira rudar koji se temelji na pregledniku.
- Lucas Nuzzi (@LucasNuzzi) 15. veljače 2018

Iskopavanje preglednika može potencijalno poremetiti trenutne modele zarađivanja davatelja web sadržaja. Internetski oglasi - koji su dosadni, često nose zlonamjerni kod i podržavaju industriju posredovanja podataka koja ugrožava privatnost i sigurnost korisnika - mogli bi se prebaciti u potporu. Donacije - koje, sudeći prema tenorima iz Wikipedije, ne smanjuju - također bi mogle izblijediti na važnosti. (Pogledajte također, Blockchain vas može učiniti - ne equifax - vlasnikom vaših podataka. )

Nažalost, nastavlja Nuzzi, hakeri tuku ugledne web lokacije što povezuje rudarstvo preglednika sa zlonamjernim softverom u javnoj mašti i "ruši nadu u usvajanje uglednih web stranica poput Wikipedije".

Salon uzima potop

Možda, ali barem jedno ugledno mjesto, ako se bori, je krenulo u korak. Salon se udružio s Coinhiveom, a 11. veljače - na dan propasti Browsealouda - počeo je pitati posjetitelje koji koriste blokade oglasa žele li "blokirati oglase dopuštajući Salonu da koristi vaše neiskorištene računalne moći". Stranica FAQ postavlja objašnjenje da to znači rudarstvo monero, mada ne spominje svog sada zloglasnog partnera imenom. (Pogledajte također, Salon želi koristiti vaše računalo za rudarstvo cyrptocurrency. )

Da bih procijenio korisničko iskustvo, uključio sam nekoliko blokatora oglasa, posjetio Salon i pristao na "potiskivanje oglasa". Nije uspjelo. Početna stranica postala je poluprozirna i ne može se kliknuti, kao što se ponekad događa kada ad blokator zasjeni obavezni skočni prozor (a adblocker je nužni preduvjet za uključenje u kriptominer). Nakon nekih prevara - vrsta koja bi me natjerala da pretražujem negdje drugdje u normalnim okolnostima - rudario sam monero u zamjenu za rezanje liberalnih komentara.

Nisam vidio nijedan oglas, ali naravno pokrenuo sam blokade oglasa. Stranica stalno učitava određene elemente, zbog čega tekst preskače svakih nekoliko sekundi. Bilo je teško čitati. Pomalo sumnjivo, brojači mojih blokatora oglasa označili su do 11 i 29, naznačivši da su zahtjevi blokirani, sa svakim ponovnim učitavanjem.

Nedvojbeno sam rudao. Prije posjeta stranici, moj Macbook monitor aktivnosti nije pokazao nijedan program koji koristi više od 10% CPU-a. Tijekom moje posjete Chrome Helper kretao se u rasponu od 50% pa do - u jednom trenutku - 320%. Kromov energetski utjecaj također je skočio na trostruke znamenke; prosjek 12 sati je 46.

Na e-poštu PR tvrtke Salon, koja pita o iskustvu kompanije s rudarstvom preglednika, nije odmah stigao odgovor. Ovaj će članak biti ažuriran kako bi odražavao odgovore Salona.

Može li preglednik rudariti?

Moj kratki susret s rudarstvom preglednika otkrio je vrstu štucanja koji su tipični za beta verzije. Ali potrošnja energije je prepreka koju manja poboljšanja neće riješiti. Rudari bitkoina slijeću u Quebec jer je struja jeftina. Otmičari rudaju koristeći preglednike posjetitelja iz istog razloga. Iako je teško procijeniti novčani utjecaj rudarstva u ime Salona, ​​porast potrošnje električne energije bio je očit. Ako značajan komad web pretraživača usvoji rudarstvo, korištenje interneta moglo bi biti skupo.

Isto vrijedi i za upotrebu hardvera. WannaMine je predstavio takav problem jer, kako je Panda rekao, "način na koji pokušava maksimalno iskoristiti procesor i RAM, čini računalo pod velikim naporom." Ako web-lokacije ne ograniče zahtjeve koje postavljaju na računala posjetitelja, procesi će usporiti i indeksirati se znatno brže.

Nuzzi ne smanjuje ove probleme. "Ako rudarstvo temeljeno na pregledniku postane stvar, definitivno će doći do zloupotrebe kada je u pitanju broj rudarskih niti koje web mjesto troši", rekao je putem e-pošte. S druge strane, "poput oglasa, postojat će načini blokiranja te skripte, tako da web stranice moraju shvatiti kakav bi fer bilans trebao biti, inače će korisnici prestati posjetiti web mjesto ili blokirati rudar".

Što se tiče potrošnje električne energije, monerova hash funkcija CryptoNight ima lakši dodir od, recimo, bitcoin-ovog SHA-256. Monero vađenje "nije veliki problem za korisnike prijenosnih računala", kaže Nuzzi, ali "to zasigurno ograničava neke slučajeve upotrebe pametnih telefona", sa ograničenim kapacitetom baterije.

Tada postoji rizik da će utrka brzine oružja, koja je učinila CPU, pa čak i GPU rudarstvo bitcoina i litecoin-a neprofitabilnom, zaustaviti pritisak na rudarstvo preglednika. Razlog zbog kojeg Coinhive i WannaMine koriste monero je taj što je to jedina kripto valuta koja se profitabilno može minirati pomoću CPU-a. S obzirom na prave ekonomske poticaje, ne bi li monero također mogao postati žrtva ASIC-a, specijaliziranog hardvera osmišljenog isključivo za što brže provođenje hash funkcija?

Nuzzi ne misli tako. Naziva CryptoNight "sjajno dizajniranim", dodajući da on "omogućuje Monerou miniranje koristeći razne uređaje, uključujući pametne telefone, jer većina njih ima najmanje 2 GB RAM-a, dok je za pokretanje primjerka CryptoNight potrebno samo 2MB. Scrypt (Litecoin-ov konsenzus algoritam), CryptoNight je mnogo otporniji na integraciju krugova, što omogućava izgradnju ASIC-a. "

Monerovi su programeri također obećali promijeniti algoritam ako se razvije ASIC. "Proizvođači poput Bitmaina nikada ne bi izdvojili proračun za istraživanje i razvoj za razvoj Monero ASIC-a s obzirom na ovaj rizik", kaže Nuzzi. (Pogledajte također, Bitcoin protiv Litecoin: Kakva je razlika? )

Dugo kašnjenje

Ako kriptominiranje istiskuje oglase kao primarni način unovčavanja internetskog sadržaja, bilo bi to ispunjenje jednog od najranijih obećanja kriptovalute.

Argument da bitcoin mikroplaćanje web-lokacijama može poremetiti trenutni model postao je žrtva porasta naknada za transakcije, ali drugi pokušaji napravljeni su korištenjem drugih tokena, poput osnovnog tokena pažnje Brave browser-a. No, sve dok financiranje novčanika i nadoknađivanje web-lokacija čije oglase blokirate ostaju neobavezni - kao što je to slučaj u Hrabroj - model se čini malo vjerojatnim da će web lokacijama osigurati potrebne prihode. (Hrabro, treba reći, predviđa mjesto oglašivača na svojoj platformi.)

Ne postoji jamstvo da će se rudarstvo preglednika zahvatiti ili da učinak na korisničku opremu i račune za struju neće biti narušivač. No, postoji mogućnost da se dosadni, nametljivi, povremeno štetni oglasi - ili programi koje koristite za njihovo blokiranje - nađu na izlazu.

Ulaganje u kripto valute i druge početne ponude kovanica ("ICO-ovi") vrlo je rizično i spekulativno, a ovaj članak nije preporuka Investitopeda ili pisca da ulažu u kripto valute ili druge ICO-ove. Budući da je situacija svakog pojedinca jedinstvena, prije donošenja bilo kakvih financijskih odluka uvijek se treba savjetovati s kvalificiranim stručnjakom. Investopedia ne daje nikakva jamstva ili jamstva u pogledu točnosti ili pravovremenosti ovdje sadržanih informacija. Na datum kada je ovaj članak napisan, autor nema poziciju ni u jednoj kripto valuti.